Το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των Ηνωμένων Πολιτειών (NIST) διαμορφώνει νέες κατευθυντήριες γραμμές και πολιτικές για τους κωδικούς πρόσβασης που χρησιμοποιούνται από την αμερικανική κυβέρνηση (δημόσιος τομέας).
Δεν είναι μυστικό. Οι περισσότεροι χρήστες του διαδικτύου, χρησιμοποιούν χάλια κωδικούς πρόσβασης.
Με τόσες πολλές ιστοσελίδες και ηλεκτρονικές εφαρμογές που απαιτούν την δημιουργία λογαριασμών, η ανάγκη για την δημιουργία νέων κωδικών πρόσβασης, έχει γίνει σχεδόν ένα καθημερινό φαινόμενο.
Ταυτόχρονα, η υπολογιστική ισχύς που διατίθεται πλέον για το σπάσιμο των κωδικών γίνεται όλο και μεγαλύτερη.
Έτσι λοιπόν το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των Ηνωμένων Πολιτειών (NIST) αποφάσισε επιτέλους να διαμορφώσει νέες κατευθυντήριες γραμμές για την δημιουργία κωδικών πρόσβασης.
Αναφέρω επιτέλους και θεωρώ ότι είναι σημαντικό, επειδή τα νέα πρότυπα και οι νέες πολιτικές θα βοηθήσουν εταιρείες, οργανισμούς και υπηρεσίες να εξασφαλίσουν περισσότερο τους χρήστες τους, αλλά και να εξαλείψουν απαρχαιωμένες πρακτικές που πλέον φαίνεται ότι δεν λειτουργούν.
Ή για να το θέσω αλλιώς υπάρχουν μόνο για να μας κάνουν τη ζωή πιο δύσκολη.
Όποιος ενδιαφέρεται για το προσχέδιο των επερχόμενων προδιαγραφών που αναφέρεται σαν Special Publication 800-63-3: Digital Authentication Guidelines μπορεί να το παρακολουθεί καθώς εξελίσσεται στο Github ή σε μια πιο προσιτή μορφή στην ιστοσελίδα της NIST.
Ας δούμε λίγο τι νέο έρχεται:
Ποιες είναι οι σημαντικότερες διαφορές μεταξύ της τρέχουσας πολικής για τους “ασφαλείς κωδικούς πρόσβασης” και τι συνιστά τώρα το NIST;
Ορισμένες από τις συστάσεις πιθανώς μπορείτε να τις μαντέψετε, άλλες πάλι μπορεί να σας εκπλήξουν.
Table of Contents
Τι θα πρέπει να κάνετε.
Προνόμιο του χρήστη. Κατ ‘αρχάς, κάντε πολιτικές για κωδικούς πρόσβασης που είναι φιλικές προς το χρήστη και δώστε βάρος στον επαληθευτή όταν αυτό είναι δυνατό.
Με άλλα λόγια, θα πρέπει να σταματήσουμε να ζητάμε από τους χρήστες να κάνουν πράγματα που δεν βελτιώνουν την ασφάλεια.
Πολλές έρευνες που έχουν πραγματοποιηθεί για την αποτελεσματικότητα των “βέλτιστων πρακτικών” αποδεικνύεται ότι δεν βοηθούν αρκετά για να αξίζουν τον κόπο που χρειάζονται.
Το μέγεθος μετράει όταν πρόκειται για κωδικούς πρόσβασης. Οι νέες οδηγίες του NIST αναφέρουν ότι χρειάζεστε τουλάχιστον 8 χαρακτήρες. (Δεν είναι το ελάχιστο όριο, θα μπορείτε να μεγαλώσετε το μέγεθος για τους πιο ευαίσθητους λογαριασμούς.)
Το NIST αναφέρει ότι πρέπει να επιτρέπεται ένα μέγιστο μήκος τουλάχιστον 64 χαρακτήρων, οπότε δεν θα υπάρχει πλέον το “Συγγνώμη, ο κωδικός σας δεν μπορεί να είναι μεγαλύτερος από 16 χαρακτήρες.”
Οι εφαρμογές θα πρέπει να επιτρέπουν όλους τους εκτυπώσιμους χαρακτήρες ASCII, συμπεριλαμβανομένων και διαστημάτων, και να δέχονται όλους τους χαρακτήρες UNICODE, συμπεριλαμβανομένων και των emoji!
Έτσι θα πρέπει να επιτρέπεται η χρήση όλων των συνήθων χαρακτήρων στίξης της κάθε γλώσσας για τη βελτίωση της χρηστικότητας και την αύξηση της ποικιλίας.
Ελέγξτε τους νέους κωδικούς πρόσβασης από κάποιο ένα λεξικό γνωστών-κακών επιλογών (αφορά τις εταιρείες). Δεν θέλετε να αφήσετε τους χρήστες των υπηρεσιών σας να χρησιμοποιούν το ChangeMe, ή το ίδιο το όνομα του χρήστη, και ούτω καθεξής.
Πράγματα που δεν πρέπει να κάνετε.
Δεν υπάρχουν κανόνες σύνθεσης. Αυτό σημαίνει ότι δεν θα υπάρχουν άλλοι κανόνες που να αναγκάζουν τους χρήστες να χρησιμοποιούνε συγκεκριμένους χαρακτήρες ή συνδυασμούς.
Έτσι θα σταματήσουμε να βλέπουμε το δυσάρεστο μήνυμα:
“Ο κωδικός σας θα πρέπει να περιέχει ένα μικρό γράμμα, ένα κεφαλαίο γράμμα, έναν αριθμό, τέσσερα σύμβολα αλλά όχι &% # @ _, Και το επώνυμο τουλάχιστον ενός αστροναύτη.”
Αφήστε τους ανθρώπους να επιλέξουν ελεύθερα και ενθαρρύνετε να χρησιμοποιούν ολόκληρες φράσεις αντί για δύσκολους κωδικούς πρόσβασης ή με ψεύτικη πολυπλοκότητα όπως το pA55w + rd.
Δεν θα υπάρχουν συμβουλές για τους κωδικούς πρόσβασης. Καμία. Αν θέλω κάποιοι να έχουν περισσότερες πιθανότητες να μαντέψουν τον κωδικό μου, θα τον γράψω σε ένα χαρτάκι και θα το κολλήσω στην οθόνη μου.
Ο έλεγχος ταυτότητας βάσει γνώσεων (KBA) δεν θα υπάρχει πια. Το Knowledge-based authentication (KBA) είναι όταν ένας ιστότοπος αναφέρει: “Διαλέξτε από μια λίστα ερωτήσεων – Πού πήγατε γυμνάσιο; Ποια είναι η αγαπημένη σου ποδοσφαιρική ομάδα; και δώστε μας την απάντηση σε περίπτωση που χρειαστεί να ελέγξουμε ότι είστε εσείς.”
Η αγαπημένη μου αλλαγή:
Δεν θα υπάρχει πλέον λήξη κωδικών πρόσβασης χωρίς λόγο. Εάν θέλουμε οι χρήστες να συμμορφωθούν και να επιλέξουν μεγάλους και δύσκολους κωδικούς πρόσβασης, δεν θα πρέπει να τους απαιτούμε να αλλάζουν κωδικούς πρόσβασης χωρίς λόγο, μόνο και μόνο επειδή πέρασε το τρίμηνο ή το εξάμηνο.
Οι μόνοι κωδικοί πρόσβασης που θα πρέπει να αλλάζουν είναι οι ξεχασμένοι, ή αν νομίζετε (ή γνωρίζετε) ότι η βάση δεδομένων κωδικών πρόσβασης της εταιρείας έχει κλαπεί.
NIST: μερικές πολύ χρήσιμες συμβουλές
Όλοι οι κωδικοί πρόσβασης πρέπει να είναι κρυπτογραφημένοι, αλατισμένοι και τεντωμένοι (ή hashed, salted και stretched) για να αποθηκεύονται με ασφάλεια.
Προτείνει δε στις εταιρείες να χρησιμοποιούν salt των 32 bits ή μεγαλύτερο, ένα keyed HMAC hash που χρησιμοποιεί SHA-1, SHA-2 ή SHA-3, και ένα “stretching” αλγόριθμο PBKDF2 με τουλάχιστον 10.000 επαναλήψεις.
Τι άλλο φεύγει;
Οι λάτρεις του hashing των κωδικών πρόσβασης πιθανότατα θα αναρωτιούνται:
“Τι γίνεται με το bcrypt και το scrypt;”
Το NIST γράφει:
«Θα συστήσουμε το PBKDF2 εδώ επειδή βασίζεται σε αρχέτυπα hashing που ικανοποιούν πολλά Εθνικά και διεθνή πρότυπα.”
Επιπλέον, άλλη μια μεγάλη αλλαγή καθιστά τα SMS ανεπίτρεπτα: τα SMS δεν θα πρέπει πλέον να χρησιμοποιούνται σε ελέγχους ταυτότητας δύο παραγόντων (2FA).
Υπάρχουν πολλά προβλήματα σχετικά με την ασφάλεια της παράδοσης των SMS, συμπεριλαμβανομένου και του κακόβουλου λογισμικού που μπορεί να ανακατευθύνει μηνύματα κειμένου.
Έχει κι άλλα:
Επιθέσεις εναντίον του δικτύου κινητής τηλεφωνίας (όπως το αποκαλούμενο SS7 hack), η φορητότητα του αριθμού του κινητού τηλεφώνου, οι θύρες του τηλεφώνου, οι γνωστές αλλαγές SIM όπου ο πάροχος κινητής τηλεφωνίας εκδίδει μια νέα κάρτα SIM για να αντικαταστήσει μια κάρτα που χάθηκε, υπέστη ζημιά, ή έχει κλαπεί.
Τι ακολουθεί;
Αναφέραμε μερικά από τα πιο σημαντικά που διαβάσαμε στις επερχόμενες αλλαγές. Οι πολιτικές κωδικών πρόσβασης θα συνεχίσουν να εξελίσσονται κάτι που είναι απαραίτητο, ειδικά τώρα που υπάρχουν λεξικά με δισεκατομμύρια κωδικούς που μπορούν να χρησιμοποιηθούν για επιθέσεις brute force.
Ο στόχος του NIST είναι να προστατεύσει το κοινό αξιόπιστα χωρίς περιττή πολυπλοκότητα, επειδή η πολυπλοκότητα λειτουργεί ενάντια στην ασφάλεια.
Ο μελλοντικός ερχομός της κβαντικής υπολογιστικής μάλλον θα εξαλείψει εντελώς την χρήση των κωδικών πρόσβασης.
Οι παραπάνω αλλαγές είναι απαραίτητες και έπρεπε να υπάρχουν από χθες, καθώς υπάρχουν υπολογιστές με τεράστια επεξεργαστική ισχύ, κάτι που δεν υπήρχε όταν το NIST έθεσε τα πρώτα πρότυπα για τους “ασφαλείς κωδικούς πρόσβασης.”